INTECO-CERT , ha publicado un informe donde detalla el nivel de seguridad de los clientes de Twitter, el fenómeno de moda del momento en Internet.
Para explicar con simplicidad el problema, empecemos con el siguiente hecho: las aplicaciones que se conectan al servicio usan el API suministrado por Twitter en Modo Básico de Autenticación para poder publicar y recuperar los estados.
Por tanto, la cantidad de aplicaciones que han logrado crearse de manera no oficial con el Modo Básico de Autenticación es enorme, incrementando el riesgo de seguridad de la identificación y robo de identidad porque los programas no usan OAuth (Mecanismo de autenticación recomendado por usar un Token aleatorio) para hacer una conexión segura. Otro problema encontrado es el cifrado de contraseñas.
El informe explica una metodología de evaluación y encuentra que del conjunto de clientes solo 6% usa OAuth, pero el 67 % si hace el cifrado de las contraseñas. Por tanto, se recomienda el uso de OAuth en el desarrollo, para la seguridad y privacidad de los usuarios.
¿Que clientes cumplen con las características seguras? Es curioso encontrar a QTwitter, un programa desarrollado en QT y de licencia libre que cumple con OAuth. Otro cliente es TwitMeme. Como complemento, la mayor parte de programas no cumplen con OAuth tienen el riegos de que la información de identificación de la víctima se pueda ver claramente.
Enlaces
Informe: Seguridad de clientes en Twitter
Clientes con OAuth
Comentarios
Publicar un comentario